Ein Sicherheitsforscher hat bei der Suche nach Anfälligkeiten in Browsern einen Fehler in der Rendering-Engine WebKit von Safari entdeckt. Er führt unter Umständen dazu, dass Safari abstürzt und einen Neustart von iPhones und iPads auslöst. Ein Nutzer muss lediglich dazu verleitet werden, eine Website zu besuchen, die speziell präparierten CSS-Code enthält.
„Der Angriff nutzt eine Schwachstelle in der CSS-Funktion –webkit-backdrop-filter, die 3D-Beschleunigung nutzt, um Elemente zu bearbeiten“, sagte Haddouche im Gespräch mit ZDNet USA. „Indem wir eingebettete divs mit dieser Funktion nutzen, können wir schnell alle Grafikressourcen verbrauchen und den Kernel einfrieren oder eine Kernel-Panik auslösen.“
Betroffen ist allerdings nicht nur Safari unter iOS. Auch die Mac-Version reagiert dem Forscher zufolge auf die von ihm eingerichtete Beispiel-Website. „Mit dem aktuellen Angriff friert Safari für eine Minute ein und wird dann langsamer. Man ist aber in der Lage, den Tab danach zu schließen.“
Werde dem veröffentlichten CSS/HTML-Code jedoch noch JavaScript hinzugefügt, ergebe sich ein DoS-Angriff auf macOS. „Der Grund, warum ich das nicht veröffentlicht habe, ist, dass Safari offenbar nach einem erzwungenen Neustart des Betriebssystems ebenfalls startet und dann auch die neue Sitzung beendet wird, da die schädliche Seite wieder geladen wird.“
Apple sei über das Problem informiert, ergänzte Haddouche. „Sie haben den Erhalt meiner Meldung bestätigt und untersuchen das Problem.“
Neowin hat bei eigenen Tests festgestellt, dass der Beispielcode auch Microsoft Edge und Internet Explorer 11 Probleme bereitet. Edge habe das Laden der fraglichen Seite jedoch nach einigen Sekunden mit einer Fehlermeldung abgebrochen. Google Chrome lade die Seite indes innerhalb weniger Sekunden ohne jegliche Probleme. Bei einem Test von ZDNet wurde der Code auch von Samsung Internet 7.2 auf einem Nexus 9 mit Lineage OS 14.1 problemlos ausgeführt. Auch Opera benötigte auf einem Intel-Haswell-System mit Windows 10 Version 1803 weniger als eine Sekunde, um die Seite korrekt anzuzeigen. Warum einige Browser über den Beispielcode stolpern und andere nicht, ist noch nicht geklärt.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…